[讨论]怎么用编程关闭天网进程啊?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 2 楼我这里的天网都没有用户名!不知道为什么? 2007-5-7 01:49 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 3 楼 iceword 在ring0关的 2007-5-7 09:28 0
阿莫西林雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	阿莫西林 4 楼好像 iceword不是在ring0关闭的吧... 好像用的是PspTerminateProcess 但是这个我不知道怎么用啊... 有人知道么? 2007-5-7 20:51 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 5 楼 PspTerminateProcess 就是ring0的内核函数要用它先会DDK 2007-5-8 08:45 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 6 楼从icesword可以看到，天网的那个驱动改了ssdt的几个地址（貌似有ntopenprocess，不记得了），关进程的时候就可以判断是不是自己的进程从而防止被恶意关闭。 2007-5-8 15:29 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 7 楼高手总喜欢范一些低级错误，ring3直接关闭的方法就N多！不过搞天网就。。。。除了搞病毒我想不到要强制关闭天网的理由 2007-5-8 18:15 0
阿莫西林雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	阿莫西林 8 楼看到iceword里面好像就一个exe的主程序和一个dll的文件啊.. 没有看到sys的驱动文件啊... 他怎么用的驱动呢?? 郁闷了.. 我试过把主程序单独拷贝出来运行, 程序还是可以运行的呢.. 那个dll文件又有什么用呢??? 费解... 2007-5-9 21:33 0
ambiel 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	ambiel 9 楼他可能拦截了系统内核消息或者改写了硬件驱动了 2007-5-9 22:50 0
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 10 楼驱动生成以后都是.sys格式吗??不会吧 2007-5-10 21:30 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 11 楼确实释放并安装了IsDrv120.sys这个文件,卡巴斯基拦截到了安装驱动的操作. 2007-5-11 16:52 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 12 楼刚刚看到的说法：用OpenThread然后TerminateThread关天网。先用ToolHelp枚举一下里面的线程然后一个一个的Terminate…… 2007-5-11 20:29 0
redseayang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	redseayang 13 楼不懂呀 2007-5-11 22:10 0
阿莫西林雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	阿莫西林 14 楼但是一个单独的他的'IceSword.exe' 文件也可以被执行啊... 但是他的驱动呢/?? 2007-5-11 23:42 0
firabc 雪币： 295 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	firabc 15 楼 IceSword.exe包含驱动文件，运行时释放 2007-5-12 00:30 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 16 楼驱动很小放到资源文件里面就可以然后再释放 2007-5-12 13:58 0
阿莫西林雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	阿莫西林 17 楼懂了,,原来是这样啊... 谢谢大家呢... 2007-5-13 00:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 2 楼我这里的天网都没有用户名!不知道为什么? 2007-5-7 01:49 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 3 楼 iceword 在ring0关的 2007-5-7 09:28 0
阿莫西林雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	阿莫西林 4 楼好像 iceword不是在ring0关闭的吧... 好像用的是PspTerminateProcess 但是这个我不知道怎么用啊... 有人知道么? 2007-5-7 20:51 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 5 楼 PspTerminateProcess 就是ring0的内核函数要用它先会DDK 2007-5-8 08:45 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 6 楼从icesword可以看到，天网的那个驱动改了ssdt的几个地址（貌似有ntopenprocess，不记得了），关进程的时候就可以判断是不是自己的进程从而防止被恶意关闭。 2007-5-8 15:29 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 7 楼高手总喜欢范一些低级错误，ring3直接关闭的方法就N多！不过搞天网就。。。。除了搞病毒我想不到要强制关闭天网的理由 2007-5-8 18:15 0
阿莫西林雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	阿莫西林 8 楼看到iceword里面好像就一个exe的主程序和一个dll的文件啊.. 没有看到sys的驱动文件啊... 他怎么用的驱动呢?? 郁闷了.. 我试过把主程序单独拷贝出来运行, 程序还是可以运行的呢.. 那个dll文件又有什么用呢??? 费解... 2007-5-9 21:33 0
ambiel 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	ambiel 9 楼他可能拦截了系统内核消息或者改写了硬件驱动了 2007-5-9 22:50 0
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 10 楼驱动生成以后都是.sys格式吗??不会吧 2007-5-10 21:30 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 11 楼确实释放并安装了IsDrv120.sys这个文件,卡巴斯基拦截到了安装驱动的操作. 2007-5-11 16:52 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 12 楼刚刚看到的说法：用OpenThread然后TerminateThread关天网。先用ToolHelp枚举一下里面的线程然后一个一个的Terminate…… 2007-5-11 20:29 0
redseayang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	redseayang 13 楼不懂呀 2007-5-11 22:10 0
阿莫西林雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	阿莫西林 14 楼但是一个单独的他的'IceSword.exe' 文件也可以被执行啊... 但是他的驱动呢/?? 2007-5-11 23:42 0
firabc 雪币： 295 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	firabc 15 楼 IceSword.exe包含驱动文件，运行时释放 2007-5-12 00:30 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 16 楼驱动很小放到资源文件里面就可以然后再释放 2007-5-12 13:58 0
阿莫西林雪币： 214 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	阿莫西林 17 楼懂了,,原来是这样啊... 谢谢大家呢... 2007-5-13 00:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复